El riesgo no está en el hacker, está en el acceso que nunca se cerró

Posted on: noviembre 26, 2025
By: Jorge Gutiérrez Guillén
Category: Servicios

La forma más silenciosa de alterar información es también la más fácil de ejecutar

Las organizaciones digitalizan procesos para ser más eficientes, pero pocas revisan si esos mismos sistemas están operando con controles adecuados. El fraude interno ya no necesita complejos métodos informáticos: muchas veces se habilita por prácticas tan básicas como no cerrar accesos, no vigilar privilegios o no conservar rastros digitales.

Este fenómeno no se origina en la sofisticación tecnológica, sino en la ausencia de orden, supervisión y documentación en el uso de credenciales corporativas.

El ciclo de accesos sin depuración: un riesgo sin rostro

Los sistemas de información administran usuarios y contraseñas para operar. Cuando estos accesos no se monitorean, pueden surgir puntos vulnerables dentro de la misma organización.

Los casos más comunes incluyen:

Hallazgo frecuente	Impacto que provoca
Perfiles activos de personas que ya no trabajan en la empresa	Operaciones sin responsable identificable
Cuentas compartidas entre varias personas	Acciones sin trazabilidad individual
Acceso otorgado por excepción, sin vencimiento formal	Privilegios que se vuelven permanentes
Contraseñas sin actualización por largos periodos	Debilidades explotables
Usuarios genéricos (ej. “soporte”, “admin”, “usuario1”)	Zonas ciegas en procesos clave

Claridad técnica: si no se puede identificar quién ejecutó una acción en un sistema, no se puede asignar responsabilidad ni validar controles de gobierno de TI.

Cuentas sin dueño oficial: invisibles en los mapas de riesgo

Un usuario “huérfano” es un perfil que no tiene relación a una persona activa o a un proceso formal vigente. Existen por la falta de sincronía entre tecnología y otras áreas de la empresa.

Se originan porque:

Se crean accesos rápidamente, pero no existe un inventario actualizado de bajas.
No hay conciliación periódica entre Recursos Humanos, soporte tecnológico y gestión de usuarios.
Se cree equivocadamente que el control digital es tarea exclusiva de TI, cuando debe ser un control cruzado con toda la operación.

Dato actual (contexto 2025): muchas entidades en la región presentan acumulación de cuentas olvidadas como una falla recurrente del control interno tecnológico-operativo en empresas medianas y grandes.

Rastros digitales de corta vida o inexistentes

Los logs son registros automáticos que los sistemas generan para mostrar lo que sucede en una plataforma: inicios de sesión, cambios en bases de datos, modificaciones de parámetros, eliminación de información, entre otros.

Cuando las políticas de conservación son deficientes ocurren escenarios como:

Situación observada	Consecuencia
Registros que se eliminan en pocos días	Falta de evidencia histórica suficiente
Cambios sin identificar al usuario que ejecutó	Imposibilidad de revisar responsables
Bitácoras desactivadas sin proceso formal	Información sin rastro verificable
Depuración de logs antes de auditorías o revisiones	Pérdida de rastreabilidad

Comparación práctica: auditar un sistema sin logs es similar a revisar estados financieros sin registros contables.

El auditor como revisor de hechos, no de percepciones

Al evaluar sistemas tecnológicos:

No se trabaja con suposiciones, solo con evidencia verificable.
No se emiten señalamientos de culpabilidad, sino hallazgos factuales.
El objetivo central es validar si los procesos existen, están documentados y dejan rastro comprobable.

Para controles tecnológicos, el auditor puede apoyarse en marcos reconocidos como COBIT (gobierno de TI) o normativas de atestiguamiento (cuando aplique), con la claridad de que no constituyen auditoría tradicional sobre información histórica.

Pruebas de control interno que suelen revelar fallas básicas

Acciones simples y de alto valor técnico son:

Procedimiento	Objetivo
Cruzar accesos habilitados vs. personas activas	Detectar perfiles sin relación operativa vigente
Analizar actividad de cuentas sin uso	Identificar credenciales sin proceso real
Revisar privilegios otorgados	Detectar accesos sobredimensionados
Confirmar retención de logs	Validar rastro suficiente antes de revisiones
Preguntar quién controla a los administradores	Verificar existencia de supervisión interna

Cómo mejorar la gestión tecnológica para reducir el riesgo

Una organización con disciplina digital aplicada hace lo siguiente:

Unifica gobierno de accesos con RR. HH. y procesos.
Lleva inventario de cuentas habilitadas y cuentas dadas de baja.
Establece periodos de retención razonables de logs.
Evita usuarios compartidos y contraseñas sin actualización.
Realiza revisiones periódicas de privilegios administrativos.
Implementa alertas de actividad inusual (incluyendo análisis con IA cuando sea viable).

Control mínimo	Estrategia
Gestión de altas y bajas de credenciales	Validación formal de cierre
Revisión de privilegios cada 90 días	Control cruzado
Rotación de contraseñas	Política institucional
Retención adecuada de logs	Evidencia histórica suficiente
Registro de cambios críticos	Bitácoras activas y documentadas

Conclusión

El fraude interno facilitado por fallas en la gestión tecnológica no requiere complejidad, sino oportunidad. Su origen suele encontrarse en prácticas operativas desordenadas más que en ataques externos avanzados y se habilita cuando no existe un control sistemático sobre quién entra a los sistemas, qué puede modificar y cuánto tiempo se conservan los rastros de actividad.

Las evidencias revisadas en organizaciones de la región muestran un patrón repetido:

Se habilitan accesos con rapidez, pero no se establece un proceso equivalente para desactivarlos.
No se mantiene un inventario de cuentas activas y responsables asignados, lo que genera perfiles sin identificación formal.
Los registros de eventos digitales no se conservan adecuadamente o son débiles, reduciendo la capacidad de rastrear cambios críticos.
Los privilegios administrativos no son auditados con regularidad, posibilitando operaciones sin contrapesos de control interno.

Para el auditor, la responsabilidad no es presumir, sino encontrar, verificar y documentar hechos. Bajo esta óptica, la revisión tecnológica moderna debe incluir el análisis de identidad digital, la validación de bitácoras y el cruce de credenciales contra la operación real de la empresa. Sin esta evidencia mínima, cualquier revisión financiera u operativa queda incompleta.

Jorge Gutiérrez Guillén, CPA
Socio Fundador | JGutierrez Auditores Consultores S.A.
Costa Rica | 🌐consultoresjg.com
+506 2552-5433 | +506 8811-5090
[email protected]

#FraudeInterno #AuditoriaTecnologica #ControlInterno #GestionDeAccesos #EvidenciaDigital

Relacionado

Share This Post

Jorge Gutiérrez Guillén

With over 15 years of experience in auditing and financial consulting, I serve as the founder and managing partner of JGutierrez Auditores Consultores S.A.—a boutique firm dedicated to delivering exceptional, value-driven solutions that consistently exceed industry standards. Our mission is to promote transparency, efficiency, and sustainability by combining international best practices with in-depth knowledge of Costa Rican and regional regulations. We operate under the guiding principles of integrity, innovation, and excellence. Our Expertise At JGutierrez Auditores Consultores, we provide comprehensive audit and consulting services tailored to meet the evolving needs of today’s businesses. Our core areas of specialization include: Financial Audits: Independent evaluations aligned with international standards, ensuring reliability and accuracy in financial reporting. Regulatory Compliance: Expert navigation of complex tax and financial frameworks to ensure full adherence and strategic advantage. Internal Controls: Strengthening governance structures to mitigate risk and boost operational effectiveness. Fraud Prevention: Implementing forward-looking strategies to detect, prevent, and respond to financial irregularities. Process Optimization: Streamlining workflows and improving resource allocation for enhanced productivity and long-term growth. Environmental & Financial Sustainability: Supporting compliance with emerging ESG regulations to reinforce resilience. Information Security: Protecting critical systems and data through robust cybersecurity and risk management measures. Value-Centered Consulting Beyond our audit services, we offer strategic consulting designed to help organizations innovate and compete in an increasingly dynamic environment: Information Systems & Operational Management: Integrating technology and operations to boost performance and scalability. ISO Standards Compliance: Providing expert guidance to achieve and maintain globally recognized certifications. Transfer Pricing Studies: Ensuring compliance with international tax obligations while enhancing cross-border efficiency. Industrial Cost Analysis: Delivering deep insights into cost structures to support sound decision-making and margin improvement. Why Choose JGutierrez Our strength lies in a collaborative, multidisciplinary team that brings together seasoned professionals and next-generation talent, equipped with expertise in emerging technologies. This synergy enables us to deliver innovative, high-impact solutions that support growth, reinforce resilience, and unlock strategic opportunities. As a trusted advisor, I am committed to building lasting partnerships and helping organizations navigate the challenges of today while preparing for the opportunities of tomorrow. Jorge Gutiérrez Guillén Certified Public Accountant | Business Consultant